Intel va devoir combler deux nouvelles failles dans ses processeurs

ZombieLoad, acte 3. C’est la troisième fois en moins d’un an qu’Intel se voit contraint de corriger des failles de sécurité dans ses processeurs Core et Xeon.
Deux failles de type MDS (Microarchitectural Data Sampling) ont été détectées l’année dernière et baptisées ZombieLoad par des chercheurs en sécurité. Désormais ce sont deux nouvelles failles, qui reposent sur les fonctionnalités spéculatives présentes dans une grande partie des puces Intel, qui vont devoir être patchées.

Néanmoins, le risque représenté par ces deux vulnérabilités est moindre. L’une d’elle, appelée L1DES, ne concerne pas les puces les plus récentes, par exemple. Ce qui est rassurant, vu les efforts déployés par Intel en la matière.

Par ailleurs, le géant de Santa Clara indique ne pas avoir connaissance d’attaques utilisant ces failles en dehors des laboratoires de recherche en sécurité. Il précise également que contrairement aux deux générations de failles MDS corrigées, celle-ci ne peut pas être exploitée à distance, via la visite d’un site Web frauduleux, par exemple. Une limitation qui réduirait les risques. Toutefois la liste des puces concernées est importante.

Intel avait été prévenu il y a des semaines

Des chercheurs en sécurité hollandais affirment qu’ils avaient alerté Intel sur la présence de ces deux vulnérabilités. Ils estiment que le géant a traité le problème à la légère jusqu’à présent et qu’il aurait dû commencer le chantier des réparations bien en amont, afin de combler les failles le plus vite possible.

« Nous avons maintes fois alerté Intel sur le fait que des brèches de type L1DES pouvaient représenter un risque et qu’elles devaient être rebouchées. Nous sommes très inquiets, car les attaques pouvant être perpétuées ne sont pas anodines et nous semblent largement sous-estimées. »

A ces accusations, Intel rétorque toutefois qu’il avait déjà paré au plus pressé en déployant deux correctifs importants l’année dernière en mai et en novembre. De plus, le fondeur affirme que colmater ces deux nouvelles brèches a demandé à ses équipes plus de recherches et de développements.

À lire aussi : Une faille majeure affecte les processeurs Intel de dernière génération

Par la voix d’un de ses porte-parole interrogé par Wired, Intel a tenu à rappeler que « ses partenaires et lui mettaient tout en œuvre pour trouver des solutions aux problèmes découverts soit en interne par ses équipes soit par des groupes de chercheurs externes ». Le fondeur ne manque pas de les remercier pour leur collaboration fidèle.

Le patch devrait être déployé « dans les semaines qui viennent ». Intel n’a toutefois pas encore confirmé sous quelle forme, sans doute en utilisant les canaux de distribution digitaux de ses partenaires afin de simplifier au maximum la procédure de mise à jour du microcode de la puce.

Source : Wired